Eksperci do spraw bezpieczeństwa z Cisco Talos Group dokonali prewencyjnego skanowania sieci w poszukiwaniu urządzeń, które są podatne na zdalne ataki. Informacje, które udało im się pozyskać nie wywracają do góry nogami sektora bezpieczeństwa, za to potwierdzają to, co eksperci powtarzają od wielu lat.
Z ponad 3 milionów urządzeń, ponad 1600 z nich z adresami IP przypisanymi dla szkół, uniwersytetów, instytucji rządowych, szpitali i firm lotniczych posiadało łącznie 2100 backdoorów, które tylko czekają na uruchomienie gotowego payloadu przez podatność w popularnych skryptach PHP do zdalnego zarządzania. Co więcej, serwery te mogą zostać użyte do infekowania kolejnych urządzeń i stacji roboczych.
W przeciwieństwie do znanych nam ataków ransomware, które rozprzestrzeniają się zazwyczaj poprzez spam, w tym przypadku do infekcji serwerów i stacji roboczych wykorzystano niezaktualizowane wersje aplikacji serwera JBoss Server Enterprise firmy Red Hat, które służy do integracji i konsolidacji danych oraz użytkowników na różnych platformach. Co więcej, przestępcy korzystają z narzędzia*, które pozwala im zrobić listę urządzeń w Active Directory, a do zapłacenia okupu wykorzystują blogi w domenie **WordPress.com. Po zapłaceniu okupu, ofiara otrzymuje prostą aplikację do deszyfracji danych oraz klucz prywatny.
* Filename: csvde.exe MD5 9f5f35227c9e5133e4ada83011adfd63 ** followsec7.wordpress.com, hxxps://union83939k.wordpress.com
Przestępcy do exploitowania serwerów wykorzystują otwarto-źródłowe narzędzie JexBoss i instalują malware bez żadnej ingerencji administratora. Jeśli uzyskają dostęp do sieci, wykorzystując ransomware SamSam i klucz asymetryczny RSA o długości klucza 2048 bitów szyfrują systemy Windows.
Incydent ten pokazuje, że przestępcy są coraz częściej zainteresowani łatwym łupem. Rezygnują z wieloetapowych ataków na rzecz łatwych do zrealizowania kampanii z wykorzystaniem ransomware, które są o wiele bardziej opłacalne i tańsze do wykonania.
W ostatnich tygodniach zaatakowane zostały szpitale w USA, Kanadzie, także w Niemczech, gdzie przestępcy często żądali po kilkadziesiąt tysięcy dolarów za odzyskanie dostępu do plików. Szpitale mając na uwadze dobro pacjentów godziły się na zapłacenie okupu. Chociaż niemal wszyscy eksperci zgadzają się co do jednego – nie należy płacić – to decyzji tych nie należy potępiać. Szpitale powinny uczyć się na błędach i bardziej zabezpieczać swoje zasoby.
Nie ma na co czekać. Chwila, kiedy w polskich mediach odbije się szerokim echem incydent z udziałem ransomware wydaje się być już bliski. Szpitale oraz placówki medyczne z uwagi na przechowywane wrażliwe dane i informacje, które niejednokrotnie mogą mieć znaczenie dla zdrowia lub życia pacjenta, mogą stać się atrakcyjnym celem. Miejmy nadzieję, że administratorzy zadbają o kopie bezpieczeństwa, tak na wypadek czasowej utraty dostępu do medycznych danych przez personel szpitala.
Szczegółowa analiza ransomware SamSam i kilka sum kontrolnych:
fe998080463665412b65850828bce41f
a14ea969014b1145382ffcd508d10156
9585f0c7dc287d07755e6818e1fa204c
87fac016a357487f626ecdca751cb6a5
868c351e29be8c6c1edde315505d938b
4c8fb28a68168430fd447ba1b92f4f42
Czy ten artykuł był pomocny?
Oceniono: 0 razy